Anticiper la transition de l'ISO 27001:2013 à l'ISO 27001:2022 : une nécessité stratégique

FrançoiseLe 30 janvier 2024

Une nouvelle version de l’ISO 27001

La certification ISO 27001 a été actualisée en 2022. La nouvelle version répond à un besoin d’adaptation à de nouveaux facteurs de risques : la digitalisation croissante, l’essor de l’usage des solutions cloud, ou encore la généralisation du télétravail, entre autres.

Depuis octobre 2023, plus aucune entreprise ne peut être certifiée en version 2013. Les entreprises certifiées ISO 27001:2013 ou 2017 devront donc, si elles souhaitent maintenir leur certification, se préparer à une transition stratégique vers la version 2022 afin de respecter la nouvelle norme. Une période de 3 ans après la publication est accordée aux entreprises. Elles devront avoir transité sur la version 2022 de l’ISO/IEC 27001 en octobre 2025.

En fonction du périmètre et du contexte spécifique de chaque entreprise, la transition de la norme ISO 27001:2013 à ISO 27001:2022 peut s'avérer longue mais toujours moins onéreuse que de repasser la certification.
Chaque situation étant unique, il est fortement recommandé d'anticiper ce projet de transition et de ne pas attendre la limite de 2025 pour l'engager.
La mise en œuvre de certaines mesures peut être chronophage, et un délai suffisant est nécessaire pour évaluer l'efficacité des actions entreprises.

Les principales évolutions depuis la version 2013

La version 2022 affirme une intégration plus forte du RGPD, de la protection des données ainsi que de la cybersécurité dans ses exigences. La preuve en est son changement de nom, elle est désormais intitulée "Sécurité de l'information, cybersécurité et protection de la vie privée - Mesures de sécurité de l'information."

Renforcement du Corps de la Norme et de certains articles

Voici quelques exemples des modifications :

  • La notion de processus et leur contrôle est intensifiée (4.4/8.1).
  • Les objectifs de sécurité doivent être désormais "surveillés" (6.2) et "tenus à jour sous forme documentée," mettant en avant un nouvel axe sur la surveillance.
  • L'ajout de la clause 6.3 "Planification des modifications" du SMSI, abordant des transitions telles que, par exemple, le passage de la norme version 2013 à la version 2022.
  • Le renforcement du plan de communication (7.4).
  • Une consolidation de la phase check (9.1).
  • L'élargissement de la revue de direction avec "les modifications des besoins et attentes des parties intéressées pertinentes" (9.3.2), intégrant une démarche active des entreprises, là où auparavant, nous avions simplement un retour d'information.

Réorganisation des Mesures et Attributs Associés :

Les mesures sont désormais réparties en quatre thèmes, « Personnes », « Physiques », « Technologiques » ou « Organisationnels ». Chaque mesure est désormais accompagnée d'un tableau d'attributs spécifiant ses caractéristiques. La réorganisation a conduit à la fusion de certaines mesures de l'annexe A, tandis que de nouvelles mesures ont été ajoutées, telles que l’Intelligence des menaces, la surveillance de la sécurité physique ou bien encore la prévention de la fuite de données ou l’activité de surveillance.

Cette restructuration vise à clarifier et à simplifier la mise en œuvre des mesures, consolidant ainsi l'efficacité du SMSI.

Audit de transition : de la norme ISO 27001:2013 vers ISO 27001:2022

Cette étape de transition nécessite un audit spécifique visant à certifier que le Système de Management de la Sécurité de l'Information (SMSI) répond aux exigences actualisées de la norme. Cet audit peut être intégré dans le cadre d'un audit de suivi ou de renouvellement, à condition de respecter les échéances prescrites.

Par ailleurs, la transition vers la nouvelle version de la norme ISO 27001 implique l'alignement du SMSI avec les nouvelles exigences stipulées dans l'annexe et la norme elle-même. Cette démarche nécessite une planification méticuleuse, traitée comme un projet distinct, et comprenant plusieurs étapes clés :

  • Réalisation d'une analyse d'écart approfondie pour identifier les différences entre les exigences actuelles et celles de la nouvelle version de la norme ;
  • Elaboration d'un plan d'action détaillé, définissant les délais, les ressources nécessaires et les étapes spécifiques pour atteindre la conformité ;
  • Mise en œuvre rigoureuse du plan d'action, avec un suivi continu pour s'assurer de son avancement et de l'efficacité des mesures prises ;
  • Contrôles réguliers pour évaluer l'efficacité des changements et ajustements apportés au SMSI.

L’accompagnement d’AlgoSecure

Algosecure accompagne déjà ses clients sur la norme ISO27001:2022 en vue d'une certification. Nous proposons un ensemble d'audits et des analyses d'écart permettant d'évaluer le degré de maturité des entreprises en vue d'une certification (ou de son maintien) et leurs besoins en conformité. Nous émettons des plans d'actions détaillés et accompagnons à la réalisation des mesures à mettre en place.

Notre équipe d'experts est à la disposition pour réaliser des accompagnements sur-mesure.

Conclusion

En engageant la transition dès maintenant, les entreprises s'assurent une gestion plus sereine et maîtrisée du processus. Cela leur permet de s'adapter en douceur aux nouvelles exigences de la norme tout en renforçant leur système de sécurité de l'information.

You've enabled "Do Not Track" in your browser, we respect that choice and don't track your visit on our website.